pashockz Опубликовано 17 апреля, 2017 · Жалоба Имеем 4G/LTE роутер TELEOFIS GTX400 от провайдера с белым адресом на 4G. 1) Возможно ли этот адрес как-то прозрачно приземлить на интерфейс Cisco 881. При соединении портов провайдерского роутера и Cisco серыми адресами не работает DMVPN. 2) Если 1 пункт невозможен, то куда копать? Просить у провайдера 2 адреса, чтобы роутеры были в одной подсети? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
EugeneTV Опубликовано 18 апреля, 2017 · Жалоба соединить порт 4g и eth телеофиса в бридж, а белый ип повесить на циску. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pashockz Опубликовано 18 апреля, 2017 (изменено) · Жалоба соединить порт 4g и eth телеофиса в бридж, а белый ип повесить на циску. В брижде, как оказалось, нельзя добавить 4G-интерфейс, только ether-порт Может еще что-то можно придумать? 4G-интерфейс фактически модем с симкой, адрес получает сам модем Изменено 18 апреля, 2017 пользователем pashockz Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
EugeneTV Опубликовано 19 апреля, 2017 · Жалоба В брижде, как оказалось, нельзя добавить 4G-интерфейс, только ether-порт https://wiki.mikrotik.com/wiki/Manual:BCP_bridging_(PPP_tunnel_bridging) вообще-то можно. А вот как избавиться от получения IP модемом - не знаю. Тут https://forum.mikrotik.com/viewtopic.php?t=66320 вроде как есть намек на success story и тут https://forum.mikrotik.com/viewtopic.php?t=79999, однако ссылка там не открывается (блокировка РКН) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pingz Опубликовано 19 апреля, 2017 · Жалоба Вариант взять на 4г пул ип? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pashockz Опубликовано 20 апреля, 2017 · Жалоба Вариант взять на 4г пул ип? Сейчас как раз пров утрясает этот вопрос, а я пока курю как подружить Cisco с Mikrotik через PPP Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pashockz Опубликовано 24 апреля, 2017 · Жалоба пров сказал, что диапазон нельзя повесить на 4G https://wiki.mikrotik.com/wiki/Manual:BCP_bridging_(PPP_tunnel_bridging) вообще-то можно. А вот как избавиться от получения IP модемом - не знаю. Тут https://forum.mikrotik.com/viewtopic.php?t=66320 вроде как есть намек на success story и тут https://forum.mikrotik.com/viewtopic.php?t=79999, однако ссылка там не открывается (блокировка РКН) Подружил pptp-туннелем циску(сервак) и микротик(клиент) Так не разобрался как этот туннель поможет мне объединить/пробросить интерфейс 4g на циску... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
infery Опубликовано 24 апреля, 2017 · Жалоба DMVPN споки нормально работают за NAT-ом. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
EugeneTV Опубликовано 24 апреля, 2017 · Жалоба Подружил pptp-туннелем циску(сервак) и микротик(клиент) Так не разобрался как этот туннель поможет мне объединить/пробросить интерфейс 4g на циску... Зачем? в ссылке речь шла, что можно интерфейс ppp, который соответствует 4g модему, можно сбриджевать с eth интерфейсом который смотрит на циску и получить l2 между модемом и циской. Проблема, как я понимаю, это перевесить адрес с модема на интерфейс циски. В других ссылках как-то туманно намекалось, что есть возможность устанавливать на циске тот же адрес какой и на модеме и это как-то работает. А вот как, я так и не понял. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pashockz Опубликовано 24 апреля, 2017 · Жалоба Зачем? в ссылке речь шла, что можно интерфейс ppp, который соответствует 4g модему, можно сбриджевать с eth интерфейсом который смотрит на циску и получить l2 между модемом и циской. Проблема, как я понимаю, это перевесить адрес с модема на интерфейс циски. В других ссылках как-то туманно намекалось, что есть возможность устанавливать на циске тот же адрес какой и на модеме и это как-то работает. А вот как, я так и не понял. 1) Сделал по ссылке: там создание туннеля с профилем, в котором указан бридж, в который в свою очередь добавлен интерфейс идущий на второе устройство (разница в том, что оно у меня циска и как это сделать с ее стороны, хз... и нужно ли) 2) По следующей ссылке порт маппинг (But, you can port forward everything through to a private ip address), его я тоже пробовал. По внешнему белому адресу модема, подключенного к микротику, я цеплялся к циске, но DMVPN как надо так и не заработал 3) Тот же порт маппинг, если я правильно понял. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pashockz Опубликовано 26 апреля, 2017 (изменено) · Жалоба DMVPN споки нормально работают за NAT-ом. не сразу увидел ответ с админом, который имеет доступ к хабу пришли к мнению, что от хаба не уходит ответ на спок по подтверждению ключа, если я правильно понимаю как это работает на хабе сыпет сообщениями HUB# HUB# HUB# HUB# Mar 27 10:15:31.627: IPSEC(key_engine): got a queue event with 1 KMI message(s) Mar 27 10:15:31.771: IPSEC(validate_proposal_request): proposal part #1 Mar 27 10:15:31.771: IPSEC(validate_proposal_request): proposal part #1, (key eng. msg.) INBOUND local= белый_адрес_хаба:0, remote= белый_адрес_спока:0, local_proxy= белый_адрес_хаба/255.255.255.255/47/0 (type=1), remote_proxy= 192.168.100.2/255.255.255.255/47/0 (type=1), protocol= ESP, transform= NONE (Transport), lifedur= 0s and 0kb, spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x0 Mar 27 10:15:31.775: map_db_find_best did not find matching map HUB# HUB# HUB# HUB# HUB# HUB# HUB# Mar 27 10:15:31.775: IPSEC(ipsec_process_proposal): proxy identities not supported Mar 27 10:15:31.775: ISAKMP:(5256): IPSec policy invalidated proposal with error 32 Mar 27 10:15:31.775: ISAKMP:(5256): phase 2 SA policy not acceptable! (local белый_адрес_хаба remote белый_адрес_спока) Mar 27 10:15:31.775: ISAKMP:(5256):deleting node -148834991 error TRUE reason "QM rejected" HUB# HUB# HUB# HUB# 192.168.100.2 - адрес на интерфейсе спока на роутер провайдера куда копать Изменено 26 апреля, 2017 пользователем pashockz Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
infery Опубликовано 26 апреля, 2017 (изменено) · Жалоба куда копать Так у вас еще и ipsec (было бы странно, если без него=) . попробуйте на споке crypto ipsec nat-transparency udp-encapsulation Хотя вру. Оно само должно договориться по поводу NAT Traversal, и эта строка нужна, чтобы отключить эту опцию. ( Configuring NAT Traversal ) Изменено 26 апреля, 2017 пользователем infery Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pashockz Опубликовано 6 июня, 2017 · Жалоба куда копать Так у вас еще и ipsec (было бы странно, если без него=) . попробуйте на споке crypto ipsec nat-transparency udp-encapsulation Хотя вру. Оно само должно договориться по поводу NAT Traversal, и эта строка нужна, чтобы отключить эту опцию. ( Configuring NAT Traversal ) отлично, натолкнул на мысль... у нас на всех споках предыдущий админ применил команду no crypto ipsec nat-transparency udp-encapsulation почему я уже вспомнить не могу, но объяснение какое-то было сейчас пытаюсь у него узнать причину добавления данной строчки Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...